Heartbleed, un problema en los datos encriptados

(América Latina) Uno de los distintos servicios que les brindamos a nuestros clientes es inteligencia de marca. Dentro del curso de nuestro monitoreo, hemos notado cierta actividad interesante con respecto a la nueva vulnerabilidad de SSL Heartbleed. Los hackers están publicando enormes listas de más de 10.000 dominios que han pasado a través de las herramientas automáticas de verificación de vulnerabilidades. Estas listas describen si los sitios web son vulnerables, reparados o no tienen SSL.

Esto no es una gran sorpresa dado lo enormemente prevalente que es el error de Heartbleed y la forma en que rápidamente se crearon herramientas automatizadas para revisar la vulnerabilidad de forma remota. Es muy probable que si se ejecuta un sistema protegido por SSL, éste ha sido o será evaluado por una de estas herramientas. Tales revisiones podrían llevar a ataques automatizados que colecten credenciales de acceso en masa.

Un aviso legal: si planea ejecutar estas herramientas contra una infraestructura que no es de su propiedad, probablemente esté rompiendo algunas leyes en el proceso, pues estas herramientas no sólo verifican los números de versión de OpenSSL, sino que en realidad ejecutan un ataque limitado que toma un pequeño bloque de memoria del servidor.

Esta vulnerabilidad fue descubierta por Neel Mehta, ahora con Google. Tuve el gran placer de trabajar de cerca con Neel por muchos años en Internet Security Systems (ISS). Se ha hablado mucho, principalmente entre otros investigadores de vulnerabilidades altamente capacitados, sobre qué tan explotable”es esta vulnerabilidad en el mundo real.

El actual debate se centra en la pregunta. ¿Es posible engañar a un servidor vulnerable para que filtre la memoria suficiente para reconstruir la llave privada? Si no lo es, esto aún es malo. Los servidores pueden exponer nombres de usuarios, contraseñas, contenido de comunicación cifrada. Si lo es, es aún peor porque permitiría descifrar cualquier tráfico SSL incluso después de que el error sea reparado.

La naturaleza de explotabilidad fue algo en lo que invertimos mucho tiempo en ISS X-Force. En el ambiente de hoy lleno de herramientas automatizadas para remover lo que no sea necesario, la mayoría del software común y con certeza software tan omnipresente como OpenSSL contiene vulnerabilidades que son escasamente difíciles de identificar y mucho menos fiables de explotar en un entorno del mundo real.

Nos solíamos desesperar sobre cómo anunciar una vulnerabilidad que revelamos en el equipo de ISS X-Force. En casi todos los casos, nunca anunciamos ninguna vulnerabilidad sobre la cual no pudiéramos escribir una explotación confiable para demostrar el verdadero riesgo. Esa pudo haber sido la antigua forma de hacer las cosas. Otro ex-miembro de ISS, Mark Dowd, manipuló el tejido del espacio-tiempo a su antojo al probar en 2008 que  los errores de desreferenciar un puntero nulo eran en realidad explotables en el mundo real. Este sencillo descubrimiento sacó a la luz una gran cantidad de errores y los hizo muy peligrosos y muy explotables.

Es mejor prevenir que lamentar. Corrija sus sistemas y remplace sus certificados. Las vulnerabilidades son comprobables en el momento, pero su explotabilidad aumenta generalmente sobre el tiempo.

Por Daniel Ingevaldson, CTO, Easy Solutions